La Corte di Giustizia dell’Unione Europea, con la sentenza del 5 giugno 2018 relativa alla causa C-210/16, ha stabilito un importante principio in tema di responsabilità dei social network che prevede la co-"responsabilità" dell'amministratore di una pagina (FansPage) insieme a Facebook per il trattamento dei dati personali.
Il caso riguarda la società tedesca Wirtschaftsakademie Schleswig-Holstein, operante nel settore della formazione, che offre servizi attraverso una (pagina business) FansPage presente su Facebook. Gli Admin Page, quali la Wirtschaftsakademie, possono ottenere dati statistici anonimi sui visitatori di tali pagine servendosi dei servizi statistici configurati da Facebook c.d. Insights, messa a loro disposizione gratuitamente con condizioni d’uso non modificabili.
Quando un utente, un persona fisica iscritta al socialmedia, utilizza una FansPage, Facebook raccoglie informazioni quali ad esempio i tipi di contenuti visualizzati o con cui interagisce, le azioni eseguite nonché le informazioni sui dispositivi usati (indirizzi IP, sistema operativo, tipo di browser, impostazioni della lingua, dati sui cookie).
Gli Insights della pagina (FansPage) sono statistiche aggregate create da determinati eventi registrati dai server di Facebook quando gli utenti interagiscono con le pagine e i contenuti in esse presenti.
Come illustrato nella Privacy Policy di Facebook, il Social Media raccoglie e usa informazioni anche per fornire servizi di raccolta di dati statistici, definiti Insights, agli amministratori delle pagine per consentire loro di capire la modalità con cui gli utenti (persone fisiche iscritte al social) interagiscono con i contenuti in esse presenti.
I dettagli sulle modalità di trattamento eseguito da Facebook sono disponibili al seguente link:
https://www.facebook.com/privacy/explanation
I dettagli sui dati personali trattati per Insights sono disponibili al seguente link:
https://www.facebook.com/legal/terms/information_about_page_insights_data
I dettagli sui cookie utilizzati da Facebook, sono disponibili al seguente link:
https://www.facebook.com/policies/cookies/
L'amministratore di una pagina (FansPage) e Facebook Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland) sono contitolari del trattamento in conformità con l'articolo 26 del GDPR per il trattamento dei dati personali registrati per gli eventi erogati tramite Insights della pagina (FansPage).
L'accordo di contitolarità, fra l'ente che amministra la pagina e Facebook, copre la creazione di tali eventi e la loro aggregazione in Insights nella pagina fornita ad ogni amministratore.
Le responsabilità di Facebook Ireland e dell'amministratore della pagina, in relazione al rispetto degli obblighi previsti dal GDPR per quando riguarda il trattamento dei Dati di Insights, sono determinate come segue:
- Facebook Ireland garantisce una base giuridica per il trattamento dei Dati di Insights, definita nella normativa sui dati di Facebook Ireland. Salvo diversamente specificato nell'accordo di contitolarità, sarà Facebook Ireland ad assumersi la responsabilità del rispetto degli obblighi applicabili ai sensi del GDPR per il trattamento dei Dati di Insights (compresi, a titolo esemplificativo, gli articoli 12 e 13 del GDPR, gli articoli da 15 a 21 del GDPR e gli articoli 33 e 34 del GDPR). Facebook Ireland implementerà le misure tecniche e organizzative adeguate per garantire la sicurezza del trattamento in conformità con l'articolo 32 del GDPR;
- Gli amministratori delle pagine social dovranno garantire di avere una base giuridica per il trattamento dei Dati di Insights. Oltre alle informazioni fornite agli interessati da Facebook Ireland tramite la sezione Informazioni su Insights della FansPage, l'amministratore della pagina deve individuare la propria base giuridica, compresi gli interessi legittimi che persegue se applicabili, il/i titolare/i del trattamento dei dati comprese le relative informazioni di contatto, nonché le informazioni di contatto dei responsabili della protezione dei dati (articolo 13(1)(a-d) del GDPR), se presenti.
Se gli interessati esercitano i loro diritti ai sensi del GDPR, in relazione al trattamento dei dati di Insights, nei confronti dell'amministratore della pagina (FansPage) oppure, se l'amministratore della pagina viene contattato dall'autorità di controllo in relazione al trattamento dei dati di Insights, l'amministratore della pagina invierà tempestivamente a Facebook tutte le informazioni pertinenti relative a tali richieste, entro un massimo di sette giorni di calendario.
Facebook Ireland accetta di rispondere alle richieste degli interessati per Insights della pagina (FasPage) nel rispetto dell'accoro di contitolarità nonchè del GDPR.
L'accordo di contitolarità impone all'amministratore di non agire o a rispondere per conto di Facebook Ireland.
L'amministratore della Pagina accetta, nel rispetto dell'accordo di contitolarità, di sottoporsi alla giurisdizione dei tribunali irlandesi per la risoluzione di eventuali controversie e accetta che le leggi irlandesi disciplinino i termini e/o contestazioni relativi all'accordo di contitolarità, indipendentemente da eventuali conflitti nelle disposizioni di legge.
IusPrivacy, a seguito di alcune richieste, ha recepito fra le finalità quella per la gestione delle pagina social all'interno dell'informativa dedicata i siti web.
All'interno di ogni pagina facebook è possibile impostare, all'interno della sezione "informazioni", l'url dell'informativa dedicata ai trattamenti del sito web
L'informativa dedicata al sito web, il cui URL è impostato nella FansPage, dovrà essere integrata con la finalità destinata al trattamento degli Insights Facebook.
N.B. ci sono altre ipotesi per le quali FaceBook ricopre, diversamente della pagine social, il ruolo di Responsabile del Trattamento (Art. 4 c.8 GDPR)